Módulo 19: Control de Acceso

CyberOps Associate v1.0

Objetivos del módulo
Título del módulo: Control de acceso

Objetivo del Módulo: Explicar el control de acceso como método de protección de redes.

Título del tema Objetivo del tema

Conceptos del Control de Explicar cómo el control de acceso protege los datos de la
Acceso red.
Uso y funcionamiento de
Autenticación, Autorización y
Explicar cómo se utiliza AAA para controlar el acceso a la
Contabilidad (AAA,
red.
Authentication, Authorization,
and Accounting)

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 9
19.1 Conceptos del Control de
Acceso

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 10
Control de Acceso
Seguridad de las Comunicaciones: CIA
La seguridad de la información se encarga de proteger la
información y los sistemas de información de instancias de
acceso, uso, divulgación, alteración, modificación o destrucción
no autorizadas.
Tríada CIA
La tríada CIA consiste en tres componentes de seguridad de la
información:
• Confidencialidad - Solo personas, entidades o procesos
autorizados pueden tener acceso a información confidencial.
• Integridad- Se refiere a proteger los datos de modificaciones
no autorizadas.
• Disponibilidad: Los usuarios autorizados deben tener acceso
ininterrumpido a los recursos y datos importantes. © 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 11
Control de Acceso
Seguridad Zero Trust
• Zero Trust es un enfoque integral para garantizar el acceso a todas las redes, las
aplicaciones y entornos.
• Este enfoque ayuda a proteger el acceso de usuarios, dispositivos de usuario final, API, IoT,
microservicios, contenedores y mucho más.
• El principio de un enfoque de zero trust es "nunca confiar siempre verificar".

• Un marco de seguridad zero trust ayuda a evitar el acceso no autorizado, contener brechas y
reducir el riesgo de movimiento lateral de un atacante a través de una red.
• En un enfoque Zero trust, cualquier lugar en el que se requiera una decisión de control de
acceso debe considerarse un perímetro.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 12
Control de Acceso
Seguridad Zero Trust
Los tres pilares de zero trust son: la fuerza de trabajo, las cargas de trabajo y el lugar de
trabajo.
• Zero trust para la Fuerza laboral: Este pilar está formado por personas que acceden a la
aplicaciones de trabajo mediante el uso de sus dispositivos personales o gestionados por la
empresa. Garantiza que solo los usuarios adecuados y los dispositivos seguros puedan
acceder a aplicaciones, independientemente de la ubicación.
• Zero Trust para Cargas de trabajo: Este pilar se refiere a las aplicaciones que se ejecutan
en la nube, en centros de datos y otros entornos virtualizados que interactúan entre sí. Se
enfoca en el acceso seguro cuando una API, un micro-servicio o un contenedor acceden a
una base de datos dentro de una aplicación.
• Zero Trust para el Lugar de trabajo: Este pilar se centra en el acceso seguro para todos
los dispositivos, incluido el Internet de las cosas (IoT), que se conectan a redes
empresariales, como puntos finales de usuario, servidores físicos y virtuales, impresoras,
cámaras y mucho más.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 13
Control de Acceso
Modelos de control de acceso
• Una organización debe implementar controles de acceso adecuados para proteger sus recursos de
red, recursos de sistemas de información y la información misma.

• Un analista de seguridad debe entender los diferentes modelos básicos de control de acceso para
tener una mejor idea de cómo los atacantes pueden quebrantar los controles de acceso.

• En la siguiente tabla se mencionan varios tipos de modelos de control de acceso:

Modelos de control de acceso Descripción
Control de acceso discrecional • Este es el modelo menos restrictivo y permite a los usuarios
(DAC) controlar el acceso de sus datos como si fueran propietarios
de esos datos.
• Puede utilizar ACLs u otros métodos para especificar qué
usuarios o grupos de usuarios tienen acceso a la
información.
Control de Acceso Obligatorio • Se aplica el más estricto control de acceso y suele utilizarse
(MAC, Mandatory Access Control ) en aplicaciones militares o fundamentales para la misión.
• Asigna etiquetas del nivel de seguridad a la información y
habilita el acceso de los usuarios
© 2020 Cisco y/oen función
sus filiales. de los
Todos los derechos
Información confidencial de Cisco.
permisos14
reservados.

de su nivel de seguridad.
Control de Acceso
Modelos de Control de Acceso
Modelos de control de acceso Descripción
Control de acceso basado en roles • Las decisiones de acceso se basan en los roles y las
(RBAC, Role-based access control) responsabilidades del individuo dentro de la organización.
• Se asignan privilegios de seguridad a diferentes roles y se asignan
individuos al perfil RBAC para el rol.
• También se conoce como un tipo de control de acceso no
discrecional.
Control de acceso basado en atributos Permite el acceso según los atributos del objeto (recurso) al que se
(ABAC, Attribute-based access control) tendrá acceso, el sujeto (usuario) que tendrá acceso al recurso y los
factores del entorno respecto de cómo se tendrá acceso al objeto (por
ejemplo, la hora del día).
Control de acceso reglamentado (RBAC, • El personal de seguridad de red especifica conjuntos de reglas o
Rule-based access control) condiciones que están asociados con el acceso a datos o sistemas.
• Estas reglas pueden especificar direcciones IP permitidas o
denegadas, o ciertos protocolos y otras condiciones.
• También conocido como RBAC.
Control de acceso basado en tiempo (TAC,
Permite el acceso a los recursos de red en función del día y la hora.
Time-based Access Control)
© 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 15
19.2 Uso y Operación de AAA

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 16
Uso y Operación de AAA
Operación de AAA
• Una red debe diseñarse para controlar quiénes puede conectarse a ella y qué pueden
hacer cuando están conectados. Estos requisitos de diseño se identifican en la política de
seguridad de la red.
• La política especifica cómo los administradores de redes, usuarios corporativos, usuarios
remotos, partners comerciales y clientes tienen acceso a los recursos de la red.
• La política de seguridad de red también puede exigir la implementación de un sistema de
auditoría que registre quién inició sesión y cuándo, además lo que hizo mientras
permaneció conectado
• El protocolo de Autenticación, Autorización y Contabilidad (AAA) proporciona el marco de
trabajo necesario para habilitar la seguridad de acceso escalable.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 17
 Uso y Operación de AAA
Operación de AAA
En la siguiente tabla se mencionan las tres funciones de seguridad independientes proporcionadas por
el marco arquitectónico de AAA:
Componente
Descripción
AAA
Autenticación • La autenticación se puede establecer utilizando combinaciones de nombre de usuario
y contraseña, preguntas de desafío y respuesta, tarjetas token y otros métodos.
• La autenticación AAA proporciona una forma centralizada de controlar el acceso a la
red.
Autorización • Una vez autenticado el usuario, los servicios de autorización determinan a qué
recursos puede acceder el usuario y qué operaciones está habilitado para realizar.
• Un ejemplo es “el usuario puede tener acceso al servidor XYZ mediante SSH
solamente.”
Contabilidad • Los registros de Contabilidad tienen también la función de registrar lo que hace el
usuario, incluidos los elementos a los que accede, la cantidad de tiempo que accede
al recurso y todos los cambios que se realizaron.
• La contabilidad realiza un seguimiento de la forma en que se utilizan los recursos de
red.
• Un ejemplo es “El usuario estudiante tuvo acceso ©Información
al2020servidor XYZ
Cisco y/o sus filiales. Todosdel
confidencial de Cisco.
hostreservados.
los derechos mediante 18
SSH durante 15 minutos.”
Uso y Operación de AAA
Operación de AAA
Este concepto es similar a utilizar
una tarjeta de crédito, como se
indica en la imagen. La tarjeta de
crédito identifica quién la puede
utilizar y cuánto puede gastar ese
usuario, y lleva un registro de los
elementos en los que el usuario
gastó dinero.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 19
Uso y Operación de AAA
Autenticación de AAA
• La autenticación de AAA puede usarse para autenticar a los usuarios para el acceso
administrativo o puede usarse para autenticar a los usuarios para el acceso remoto a la
red.
• Cisco ofrece dos métodos comunes para implementar servicios de AAA:

Autenticación AAA local

• Este método también se conoce como autenticación autónoma porque autentica a los
usuarios en función de nombres de usuario y contraseñas almacenados localmente.
• AAA local es ideal para las redes pequeñas.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 20
Uso y Operación de AAA
Autenticación de AAA
• El cliente establece una conexión con el router.

• El router AAA pide al usuario un nombre de usuario y una contraseña.

• El router autentica el nombre de usuario y la contraseña mediante la base de datos local

y el usuario obtiene acceso a la red en función de la información de esta base de datos.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 21
Uso y Operación de AAA
Autenticación de AAA
Autenticación AAA basada en el servidor
• Este método autentica en función de un servidor AAA central que contiene los nombres de
usuario y contraseñas de todos los usuarios. Esto es ideal para redes medianas a grandes.
• El cliente establece una conexión con el router.

• El router AAA pide al usuario un nombre de usuario y una contraseña.

• El router autentica el nombre de usuario y la contraseña mediante un servidor de AAA.

• El usuario obtiene acceso a la red en función de la información en el servidor AAA remoto.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 22
Uso y Operación de AAA
Autenticación de AAA
AAA centralizada
• La autenticación AAA centralizada tiene más capacidad de escala y administración que la
autenticación AAA local y, por lo tanto, es la implementación de AAA preferida.
• Un sistema AAA centralizado puede mantener bases de datos para la autenticación,
autorización y contabilidad de manera independiente.
• Puede aprovechar Active Directory o el Lightweight Directory Access Protocol (LDAP) para
la autenticación de usuarios y la membresía de grupos, mientras mantiene sus propias
bases de datos de autorización y contabilidad.
• Los dispositivos se comunican con el servidor AAA centralizado usando el protocolo de
Servicio de Autenticación Remota de Marcación de Usuario (RADIUS, Remote
Authentication Dial-In User Service) o el Sistema de Control de Acceso del Controlador de
Acceso Terminal Mejorado (TACACS+, Terminal Access Controller Access Control System).

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 23
Uso y Operación de AAA
Autenticación de AAA
En la siguiente tabla se mencionan las diferencias entre los dos protocolos:

Funciones TACACS+ RADIUS

Funcionalidad Separa las funciones de autenticación, Combina autenticación y autorización, pero
autorización y Contabilidad de acuerdo a separa la Contabilidad, lo que permite menos
la arquitectura de AAA. Esto permite la flexibilidad en la implementación que la
modularidad de la implementación del flexibilidad de TACACS+
servidor de seguridad.
Estándar Mayormente admitido por Cisco Estándar abierto/RFC
Transporte Puerto TCP 49 Puertos UDP 1812 y 1813, o 1645 y 1646.

Protocolo CHAP Desafío y respuesta bidireccionales tal Desafío y respuesta unidireccionales desde
como se utilizan en el Protocolo de el servidor de seguridad RADIUS hacia el
Autenticación de Intercambio de Señales cliente RADIUS
(CHAP, Challenge-Handshake
Authentication Protocol)
© 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 24
Uso y Operación de AAA
Autenticación de AAA
Funciones TACACS+ RADIUS
Confidencialidad Encripta todo el cuerpo del paquete, Encripta solamente la contraseña en el
pero deja un encabezado estándar paquete de solicitud de acceso del cliente al
de TACACS+. servidor. El resto del paquete está sin encriptar,
dejando sin protección el nombre de usuario,
los servicios autorizados y la Contabilidad.

Personalización Proporciona autorización de No tiene ninguna opción para autorizar

comandos del router por usuario o comandos del router por usuario o por grupo
por grupo

Contabilidad Limitada Extensa

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 25
Uso y Operación de AAA
Registro de Contabilidad AAA
• La AAA centralizada también permite el uso del método de Contabilidad.

• Los registros de contabilidad provenientes de todos los dispositivos se envían a repositorios

centralizados, lo que permite simplificar la auditoría de las acciones del usuario.
• La Contabilidad de AAA recopila y reporta datos de uso en los registros AAA. Estos registros
son útiles para la auditoría de seguridad.
• Los datos recopilados pueden incluir la hora de inicio y finalización de la conexión, los
comandos ejecutados, la cantidad de paquetes y el número de bytes.
• Un uso muy implementado de la Contabilidad es en combinación con la autenticación AAA.
Esto ayuda a que el personal administrativo de la red administre el acceso a dispositivos de
interconexión de redes.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 26
Uso y Operación de AAA
Registro de Contabilidad AAA
• La Contabilidad proporciona más seguridad que solo autenticación. Los servidores AAA mantienen
una contabilidad detallada sobre lo que el usuario autenticado hace exactamente en el dispositivo.
• Esto incluye todos los comandos EXEC y de configuración que emite el usuario.

• Cuando se autentica a un usuario, el proceso de Contabilidad AAA genera un mensaje de inicio

que comienza el proceso de Contabilidad.

• Cuando el usuario termina, se registra un mensaje de finalización y se da por terminado el proceso

de Contabilidad.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 27
Uso y Operación de AAA
Registro de Contabilidad AAA
En la siguiente tabla se describen los tipos de información de Contabilidad que se pueden recopilar:
Tipos de información Descripción
de Contabilidad
Captura la información para todas las sesiones de protocolo punto a punto (PPP, Point-to-
Contabilidad de redes
Point Protocol), incluidos los recuentos de paquetes y bytes.
Contabilidad de Captura información acerca de todas las conexiones salientes desde el cliente de AAA,
conexiones como por SSH.
Captura información sobre sesiones del terminal de usuario EXEC en el servidor de
Contabilidad EXEC acceso de la red, incluyendo, nombre de usuario, fecha, hora de inicio y finalización, y la
dirección IP del servidor de acceso.
Contabilidad de
Recopila información acerca de todos los eventos de nivel de sistema.
sistemas
Captura información sobre los comandos EXEC de Shell para un nivel de privilegio
Contabilidad de
especificado, así como la fecha y hora en que se ejecutó cada comando y el usuario que
comandos
lo ejecutó.
Contabilidad de Captura registros de inicio y detención para conexiones que superaron la autenticación
© 2020 Cisco y/o sus filiales. Todos los derechos reservados.
recursos del usuario. Información confidencial de Cisco. 28
19.3 Resumen de Control de
acceso

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 29
Resumen Control de Acceso
¿Qué aprendí en este módulo?
• La tríada de la CIA consiste de tres componentes de seguridad de la información: confidencialidad,
integridad y disponibilidad.
• Zero Trust es un enfoque integral para proteger todos los accesos a través de redes, aplicaciones y
entornos.
• El principio de Zero Trust es "nunca confiar, siempre verificar". Los pilares de confianza son Zero
Trust para la fuerza de trabajo, Zero Trust para las cargas de trabajo y Zero Trust para el lugar de
trabajo.

• En un enfoque Zero Trust, cualquier lugar en el que se requiera una decisión de control de acceso
debe considerarse un perímetro.
• Los métodos de control de acceso incluyen el control de acceso discrecional (DAC), el control de
acceso obligatorio (MAC), el control de acceso basado en roles (RBAC), el control basado en
atributos (ABAC), el acceso basado en reglas (RBAC) y el control de acceso basado en tiempo
(TAC).
• Una red debe estar diseñada para controlar quiénes puede conectarse a ella y qué pueden hacer
cuando están conectados según se especifica en la política de seguridad de redes.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 30
Resumen Control de Acceso
¿Qué aprendí en este módulo?
• El protocolo de Autenticación, Autorización y Contabilidad (AAA) proporciona el marco de trabajo
necesario para habilitar la seguridad de acceso escalable.

• Cisco proporciona dos métodos comunes para implementar servicios de AAA: Autenticación de AAA Local
y Autenticación de AAA basada en servidor.

• La AAA centralizada tiene más capacidad de escala y administración que la AAA local, y por lo tanto, es la
implementación de AAA preferida.

• Los dispositivos se comunican con el servidor AAA centralizado usando el protocolo de Servicio de
Autenticación Remota de Marcación de Usuario (RADIUS, Remote Authentication Dial-In User Service) o
el Sistema de Control de Acceso del Controlador de Acceso Terminal Mejorado (TACACS+, Terminal
Access Controller Access Control System).

• La AAA centralizada también permite el uso del método de contabilidad. La Contabilidad de AAA recopila y
reporta datos de uso en los registros AAA.

• Varios tipos de información de Contabilidad que se pueden recopilar son la Contabilidad de red, la
Contabilidad de conexión, la Contabilidad EXEC, la Contabilidad del sistema, la Contabilidad de
comandos y la Contabilidad de recursos.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 31